>> 作为全世界瞩目的安全公司以及安全会议的主办者——RSA，最近在自己的RSA2018大会上出了个大乌龙。一个叫svbl的安全专家在RSA大会的专用app的某个API上发现了一个漏洞：任何一个有RSA会议账号的人都能利用这个API获取所有参会者的名字。svbl表示自己只拿了114名参会者的名字，并且没有其他人发现这个漏洞，而RSA也紧急修复了这个漏洞。这还不是RSA第一次出现乌龙事件，早在2014年的时候，就有人发现RSA的会议app写得太烂了以至于黑客可以通过中间人攻击窃取凭证和个人信息。

>> 近日，美国食品与药物管理局督促全球范围内，从Abbot Laboratories进行心脏植入的患者，尽快前往附近的医疗中心进行一次固件升级——原因之一就是现有的固件有一个漏洞。该漏洞会让攻击者发现并利用，从而对患者的设备发送远程指令，造成潜在的电量加速流失隐患。而这次的固件升级会增加一层安全保护，禁止未授权的设备进行连接。

>> 一个很有意思的现象：公司让安全专家加班、愿意付更高的薪水、投资更昂贵的技术、甚至训练非IT人员去进行安全工作——这些都比深造他们自己已有的安全人员优先度高。

近日由Booz Allen和KRC研究的报告指出，在250名IT决策人员当中，83%的人表示公司在安全方面有空缺职位，72%的人表示很难找到高级安全技术人才，比如漏洞捕手和恶意软件逆向工程师。Booz Allen的副总裁Anil Markose说，由于技术越来越先进，对技术人员的要求也越来越高，而公司宁可去雇佣短期合同工来解决技术难题——这实际上造成了更大的安全问题。从调查结果来看，受访者对自己针对安全的优先解决方案主要为使用工具软件（56%）、训练非安全人员（52%）以及加班（45%）。而为了在竞争安全人才中更具竞争力，受访者的首选方式为高薪（54%）、不断投资新技术（51%）；而和员工发展相关的学徒机会以及培训机会则只有35%和34%。

#牛道消息20180426